Минимальные права безопасности для выполнения запросов LDAP в Active Directory
https://stackoverflow.com/questions/823184
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Наша компания пытается реализовать несколько приложений единого входа с использованием Active Directory (Windows Server 2003) и LDAP.Я хотел бы максимально заблокировать учетную запись, используемую для выполнения этих запросов LDAP.Как лучше всего настроить учетную запись такого типа?
Решение
Вы можете ограничить / разрешить то, что пользователь может или может видеть / запрашивать в AD, с помощью мастера делегирования. Вы можете легко получить доступ к мастеру делегирования, щелкнув правой кнопкой мыши по подразделению и выбрав Управление делегированием. Возможно, вы захотите взглянуть на эти статьи:
Проблемы безопасности по умолчанию при делегировании Active Directory
Рекомендации по делегированию администрирования Active Directory: как работает делегирование в Active Directory
Рекомендации по делегированию администрирования Active Directory: пример: сценарий делегирования
Другие советы
Пожалуйста, посмотри Как настроить Active Directory для разрешения анонимных запросов для минимальной безопасности.
По умолчанию реализация Microsoft LDAP не поддерживает Secure LDAP.Чтобы настроить безопасный LDAP с использованием SSL, сертификаты должны быть установлены как на сервере LDAP, так и на клиентах LDAP.Во многих случаях сервер LDAP является контроллером домена, на котором работает Active Directory.
Сертификаты, необходимые для запуска безопасного LDAP с использованием SSL, можно настроить несколькими способами.Идея всегда одна и та же:
- Домен Active Directory контроллер использует специальный сертификат который выдается доверенным Центр сертификации.
- Компьютер clent доверяет Удостоверяющий центр, выдающий сертификат к Активному Контроллер домена каталогов.
